Partilhar via

Configurar políticas de tempo de vida de sessão adaptáveis

  • Artigo

Aviso

Se estiver a usar a funcionalidade de tempo de vida do token configurável atualmente em pré-visualização pública, observe que não suportamos a criação de duas políticas diferentes para a mesma combinação de utilizador ou aplicação: uma com esta funcionalidade e outra com a funcionalidade de tempo de vida configurável do token. A Microsoft descontinuou a funcionalidade de duração de tokens configurável para atualização e durações de token de sessão a 30 de janeiro de 2021 e substituiu-a pela funcionalidade de gestão de sessões de autenticação de Acesso Condicional.

Antes de ativar a Frequência de início de sessão, certifique-se de que outras definições de reautenticação estão desativadas no seu locatário. Se a opção "Lembrar MFA em dispositivos confiáveis" estiver ativada, certifique-se de desativá-la antes de usar a configuração de 'Frequência de Início de Sessão', pois usar estas duas configurações simultaneamente pode levar a solicitar ações dos utilizadores de forma inesperada. Para saber mais sobre prompts de reautenticação e tempo de vida da sessão, consulte o artigo Otimizar prompts de reautenticação e entender o tempo de vida da sessão para a autenticação multifator do Microsoft Entra.

Implementação de políticas

Para garantir que sua política funcione conforme o esperado, a prática recomendada é testá-la antes de implementá-la em produção. Idealmente, use um locatário de teste para verificar se sua nova política funciona como pretendido. Para obter mais informações, consulte o artigo Planejar uma implantação de acesso condicional.

Política 1: Controlo da frequência de início de sessão

  1. Inicie sessão no centro de administração Microsoft Entra como, pelo menos, Administrador de Acesso Condicional.

  2. Navegue até Proteção>Acesso Condicional>Políticas.

  3. Selecione Nova política.

  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.

  5. Escolha todas as condições necessárias para o ambiente do cliente, incluindo os aplicativos de nuvem de destino.

    Nota

    É recomendável definir a mesma frequência de prompt de autenticação para os principais aplicativos do Microsoft Office, como o Exchange Online e o SharePoint Online, para melhor experiência do usuário.

  6. Sob controlos de acesso>sessão.

    1. Selecione Frequência de início de sessão.
      1. Escolha Reautenticação periódica e insira um valor de horas ou dias ou selecione Todas as vezes.

    Captura de ecrã a mostrar uma política de Acesso Condicional configurada para frequência de início de sessão.

  7. Salve sua política.

Política 2: Sessão persistente do navegador

  1. Inicie sessão no centro de administração Microsoft Entra como, pelo menos, Administrador de Acesso Condicional.

  2. Navegue até Proteção>Acesso Condicional>Políticas.

  3. Selecione Nova política.

  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.

  5. Escolha todas as condições necessárias.

    Nota

    Este controlo requer a escolha de "Todas as Aplicações Cloud" como condição. A persistência da sessão do browser é controlada pelo token da sessão de autenticação. Todos os separadores numa sessão de navegador partilham um único token de sessão e, por isso, todos eles têm de partilhar o estado de persistência.

  6. Em Controles de acesso>Sessão.

    1. Selecione Sessão persistente do navegador.

      Nota

      A configuração da Sessão Persistente do Navegador no Acesso Condicional do Microsoft Entra substitui a configuração "Permanecer conectado?" no painel de identidade visual da empresa para o mesmo usuário se você tiver configurado ambas as políticas.

    2. Selecione um valor na lista suspensa.

  7. Guarde a sua apólice.

Política 3: Controlo da frequência de início de sessão sempre que detetado um utilizador de risco

  1. Inicie sessão no centro de administração Microsoft Entra como, pelo menos, Administrador de Acesso Condicional.
  2. Navegue até Proteção>Acesso Condicional.
  3. Selecione Nova política.
  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
  5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
    1. Em Incluir, selecione Todos os usuários.
    2. Em Excluir, selecione Usuários e grupos e escolha as contas de acesso de emergência ou de quebra-vidro da sua organização.
    3. Selecionar Concluído.
  6. Em Recursos de destino>Incluir, selecione Todos os recursos (anteriormente "Todos os aplicativos na nuvem").
  7. Em Condições>Risco do usuário, defina Configurar como Sim.
    1. Em Configurar níveis de risco do usuário necessários para que a política seja imposta, selecione Alto. Estas orientações baseiam-se nas recomendações da Microsoft e podem ser diferentes para cada organização
    2. Selecionar Concluído.
  8. Em Controlo de acesso, conceda acesso selecionando Conceder acesso.
    1. Selecione Exigir força de autenticação, depois selecione a força de autenticação multifator integrada da lista.
    2. Selecione Exigir alteração de senha.
    3. Selecione Selecionar.
  9. Em sessão.
    1. Selecione Frequência de início de sessão.
    2. Certifique-se de que 'Every time' está selecionado.
    3. Selecione Selecionar.
  10. Confirme as suas configurações e defina Ativar política como Apenas relatar.
  11. Selecione Criar para criar para habilitar sua política.

Depois de os administradores confirmarem as suas definições usando o modo de somente relatório, eles poderão mover o interruptor ativar política de somente relatório para ativado.

Validação

Use a ferramenta What If para simular um início de sessão do utilizador na aplicação de destino e outras condições com base em como configurou a sua política. Os controles de gerenciamento de sessão de autenticação aparecem no resultado da ferramenta.

Tolerância imediata

Consideramos cinco minutos de desvio do relógio quando cada vez é selecionado na política, para que não avisemos os utilizadores com mais frequência do que uma vez a cada cinco minutos. Se o usuário concluiu a MFA nos últimos 5 minutos e atingiu outra política de Acesso Condicional que requer reautenticação, não avisaremos o usuário. Solicitar a reautenticação excessiva dos usuários pode afetar sua produtividade e aumentar o risco de os usuários aprovarem solicitações de MFA que não iniciaram. Utilize a opção "Frequência de início de sessão – sempre" apenas para necessidades empresariais específicas.

Problemas conhecidos

  • Se configurar a frequência de início de sessão para dispositivos móveis: a autenticação após cada intervalo de frequência de início de sessão pode ser lenta, podendo demorar em média 30 segundos. Além disso, isso pode acontecer em vários aplicativos ao mesmo tempo.
  • Em dispositivos iOS: se um aplicativo configurar certificados como o primeiro fator de autenticação e o aplicativo tiver a frequência de entrada e as políticas de gerenciamento de aplicativos móveis do Intune aplicadas, os usuários finais serão impedidos de entrar no aplicativo quando a política for acionada.

Próximos passos

  • Se você estiver pronto para configurar políticas de Acesso Condicional para seu ambiente, consulte o artigo Planejar uma implantação de Acesso Condicional.